Sun Java System Access Manager 7 2005Q4 管理指南

附录 B serverconfig.xml 文件

serverconfig.xml 文件为 Sun Java™ System Access Manager 提供了有关将 Directory Server 用作自身数据存储库的配置信息。本章说明了该文件的各个元素，以及如何针对故障转移配置该文件、如何拥有多个实例、如何对控制台解除部署以及从服务器中删除控制台文件。包括以下各节：

概述

serverconfig.xml 位于 / AccessManager-base /SUNWam/config/ums 中。它包含“标识 SDK”在建立到 Directory Server 的 LDAP 连接池时所使用的参数。此产品的其他功能不使用该文件。该文件中定义了两个用户：user1 为 Directory Server 代理用户，而 user2 则为 Directory Server 管理员。

代理用户

代理用户可以具有任一用户的权限（如组织管理员或最终用户）。绑定到代理用户的连接形成连接池。Access Manager 使用形为 cn=puser,ou=DSAME Users,dc=example,dc=com 的 DN 来创建代理用户。该用户用于所有针对 Directory Server 进行的查询。由于它受益于 Directory Server 中已配置的代理用户 ACI，因此必要时也可代表用户来执行操作。它保持开放式连接，通过此连接可传送所有查询（如服务配置、组织信息等的检索）。代理用户密码始终是加密的。代理用户举例说明了加密密码在 serverconfig.xml 中的位置。

示例 B–1 serverconfig.xml 中的代理用户

<User name="User1" type="proxy">
<DirDN>
cn=puser,ou=DSAME Users,dc=example,dc=com
</DirDN>
<DirPassword>
AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
</DirPassword>
</User>

管理员用户

当 Access Manager SDK 在未链接到特定用户的 Directory Server 上执行操作（例如，检索服务配置信息）时，dsameuser 可用于绑定。代理用户可代表 dsameuser 执行这些操作，但是绑定必须首先验证 dsameuser 证书。在安装期间，Access Manager 将创建 cn=dsameuser,ou=DSAME Users,dc=example,dc=com。代理用户举例说明了已加密的 dsameuser 密码在 serverconfig.xml 中的位置。

示例 B–2 serverconfig.xml 中的管理员用户

 <User name="User2" type="admin">
 <DirDN>
 cn=dsameuser,ou=DSAME Users,dc=example,dc=com
 </DirDN>
 <DirPassword>
 AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
 </DirPassword>
 </User>

服务器配置定义类型文档

server-config.dtd 定义 serverconfig.xml 的结构。它位于 AccessManager-base /SUNWam/dtd 中。本节定义 DTD 的主要元素。MiscConfig 元素是 serverconfig.xml 文件的一个示例。

iPlanetDataAccessLayer 元素

iPlanetDataAccessLayer 是根元素。此根元素允许为每个 XML 文件定义多个服务器组。此根元素的直接子元素为ServerGroup 元素。此根元素不包含任何属性。

ServerGroup 元素

ServerGroup 定义了指向一个或多个目录服务器的指针。它们可以是主服务器或复制服务器。限定 ServerGroup 的子元素包括Server 元素、User 元素、BaseDN 元素和MiscConfig 元素。ServerGroup 的 XML 属性是服务器组的名称、minConnPool 和 maxConnPool，后两者分别定义可以为 LDAP 连接池打开的连接的最小数目 (1) 和最大数目 (10)。不支持多个已定义的 ServerGroup 元素。

注 –

Access Manager 使用连接池来访问 Directory Server。Access Manager 已启动且尚未关闭时会开启所有连接。这些连接可以重复使用。

Server 元素

服务器定义了特定 Directory Server 实例。它不包含子元素。服务器的必需 XML 属性是服务器的用户友好名称、主机名和运行 Directory Server 的端口号，以及必须打开的 LDAP 连接的类型（简单或 SSL）。

注 –

有关使用 Server 元素进行自动故障转移的示例，请参阅故障转移或多主体配置。

User 元素

User 包含定义了用户（为 Directory Server 实例配置的）的子元素。限定 User 的子元素包括 DirDN 和 DirPassword。User 元素的必需 XML 属性是用户名和用户类型。类型的值标识用户的权限，以及将为 Directory Server 实例打开的连接的类型。选项包括：

验证—定义通过 Directory Server 进行验证的用户。
代理—定义 Directory Server 代理用户。有关详细信息，请参阅代理用户。
重新绑定—定义拥有可用于重新绑定的证书的用户。
管理员—定义拥有 Directory Server 管理权限的用户。有关详细信息，请参阅管理员用户。

DirDN 元素

DirDN 包括已定义用户的 LDAP 区别名。

DirPassword 元素

DirPassword 包括已定义用户的加密密码。

注意 –

在整个部署过程中，密码和加密密钥必须保持一致。例如，在此元素内定义的密码也存储于 Directory Server 中。如果要在一个地方更改密码，则两个地方的密码都必须更新。此外，此密码是加密的。如果 am.encryption.pwd 属性中定义的加密密钥被更改，则 serverconfig.xml 中所有的密码必须使用 ampassword --encrypt 密码重新加密。

BaseDN 元素

BaseDN 定义服务器组的基本区别名。此元素不包含子元素和 XML 属性。

MiscConfig 元素

MiscConfig 是一个占位符，用于定义任一 LDAP JDK 特性（如高速缓存大小）。它不包含子元素。它的必需 XML 属性是特性的名称及其定义的值。

示例 B–3 serverconfig.xml

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!--
 Copyright (c) 2002 Sun Microsystems, Inc. All rights reserved.

 Use is subject to license terms.

-->
<iPlanetDataAccessLayer>
        <ServerGroup name="default" minConnPool="1" maxConnPool="10">
                <Server name="Server1" host="
               ishost.domain_name" port="389"
type="SIMPLE" />
                <User name="User1" type="proxy">
                        <DirDN>
                                cn=puser,ou=DSAME Users,dc=example,dc=com
                        </DirDN>
                        <DirPassword>
                                AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
                        </DirPassword>
                </User>
                <User name="User2" type="admin">
                        <DirDN>
                                cn=dsameuser,ou=DSAME Users,dc=example,dc=com
                        </DirDN>
                        <DirPassword>
                                AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ
                        </DirPassword>
                </User>
                <BaseDN>
                        dc=example,dc=com
                </BaseDN>
        </ServerGroup>
</iPlanetDataAccessLayer>

故障转移或多主体配置

Access Manager 允许自动故障转移至任何在 serverconfig.xml 中定义为ServerGroup 元素 Server 元素的 Directory Server。可以为故障转移或多主体配置多个服务器。如果最初配置的服务器停止运行，则随后配置的服务器将接替最初配置的服务器继续运行。故障转移或多主体配置举例说明了含有自动故障转移配置的 serverconfig.xml。

示例 B–4 serverconfig.xml 中配置的故障转移

<?xml version="1.0" encoding="ISO-8859-1" standalone="yes"?>
<!--
PROPRIETARY/CONFIDENTIAL. Use of this product is subject to license terms.
Copyright 2002 Sun Microsystems, Inc. All rights reserved.
-->
<iPlanetDataAccessLayer>
     <ServerGroup name="default" minConnPool="1" maxConnPool="10">
          <Server name="Server1" host="
            amhost1.domain_name" port="389" type="SIMPLE" />
          <Server name="Server2" host="
            amhost2.domain_name" port="389" type="SIMPLE" />
          <Server name="Server3" host="
            amhost3.domain_name" port="390" type="SIMPLE" />
          <User name="User1" type="proxy">
               <DirDN>
                    cn=puser,ou=DSAME Users,dc=example,dc=com
               </DirDN>
               <DirPassword>
                    AQIC5wM2LY4Sfcy+AQBQxghVwhBE92i78cqf
               </DirPassword>
          </User>
          <User name="User2" type="admin">
               <DirDN>
                    cn=dsameuser,ou=DSAME Users,dc=example,dc=com
               </DirDN>
               <DirPassword>
                    AQIC5wM2LY4Sfcy+AQBQxghVwhBE92i78cqf
               </DirPassword>
          </User>
          <BaseDN>
               o=isp
          </BaseDN>
     </ServerGroup>
</iPlanetDataAccessLayer>